【2023年3月22日発表】WooCommerceに於ける脆弱性について

2023年3月22日に、WooCommerce Paymentsプラグイン内で重大な脆弱性が発見されました。この脆弱性は、WooCommerce Paymentsの非常に人気のあるeコマース決済プラグインで、50万以上のアクティブなインストールがあることが報告されています。この問題は、ホワイトハットのセキュリティリサーチャー、Michael Mazzoliniによって発見され、HackerOne（※1）を通じて責任を持って報告されました。脆弱性のパッチが含まれるバージョン5.6.2への更新が強く推奨されています​​。

この脆弱性を悪用すると、認証されていないユーザーがWebサイトの管理者を乗っ取ることが可能になります。特に、攻撃者はX-WCPAY-PLATFORM-CHECKOUT-USERリクエストヘッダーを追加し、模倣したいアカウントのユーザーIDを設定するだけで、指定されたユーザーIDのすべての権限を持つかのようにリクエストを処理することができます。この脆弱性は、バージョン4.8.0以降のWooCommerce Paymentプラグインに影響を与え、バージョン5.6.2で修正されました​​。

Wordfenceによると、この脆弱性は広範囲にわたって悪用され、157,000サイト以上が対象の大規模なキャンペーンで攻撃されています。攻撃者は、この脆弱性を悪用して新しい管理者ユーザーを作成するか、WP Consoleプラグインをインストールして、脆弱性が修正された後もバックドアとして使用できるファイルアップローダーをサーバーにインストールしています​​。

WooCommerce Paymentsを使用しているサイトでは、最新バージョンに更新し、不審なPHPファイルや怪しい管理者アカウントのスキャンを行い、発見された場合は削除することが強く推奨されています。

※1、HackerOneは2012年にハッカーやセキュリティリーダーによって設立された、インターネットをより安全にするための情熱から生まれた組織です。世界のサイバー犯罪に対抗するため、人間の創造性を活用し、ソフトウェア開発ライフサイクルのすべての段階で脅威の露出を減らします。バグバウンティプログラム、脆弱性開示プログラム（VDP）、ペネトレーションテストなどを提供しています​​。

脆弱性の解消法

WooCommerce Paymentsの脆弱性に関する報告によると、最新バージョンに更新することで問題は解消されます。特に、脆弱性が修正されたバージョン5.6.2へのアップデートが推奨されており、このアップデートを実施することで、報告されたセキュリティリスクから保護されるとされています​​​​。

しかし、アップデート後も以下のような追加の対策を講じることが推奨されておりますのでご注意ください。

全ての管理者パスワードの変更

支払いゲートウェイとWooCommerce APIキーの更新

wp-config.phpファイル内のsaltを変更するなど、さらなる予防措置を取ることも検討してください​​。

また、アップデートを行った後でも、サイトを定期的に監視し、不審なPHPファイルや怪しい管理者アカウントを探して削除することが重要です。これは、以前のバージョンを利用していた期間に悪意のある行為が行われた可能性があるためです​​。

繰り返しになりますが、WooCommerce Paymentsを使用している場合は、可能な限り早急に最新バージョンに更新し、上記のセキュリティ対策を実施することがセキュリティを確保する上で非常に重要です。

総括

WooCommerceは日本で広く利用されており、多くの個人情報を扱うネット決済システムです。そのため、情報漏洩は財務的損害や企業の信用失墜に直結します。このような背景から、徹底した情報管理が不可欠とされています。

この状況を踏まえると、WooCommerceを使用する企業は、顧客データの保護を最優先事項として取り組む必要があります。セキュリティプロトコルの常時更新と厳格なアクセス管理を通じて、ユーザー情報の安全を確保することが、信頼の維持とビジネスの持続可能性の鍵となるのは言うまでもありません。

WordPressのセキュリティ対策はもちろんのこと、自動更新を有効化して、常に最新の状態にしておくことをお勧めします。また、WooCommerceには様々な派生したプラグインが存在しますが、中には出所が不明なものも多く存在し、公式のものでも更新が数年前から停まっているものも存在します。クレジットカードや銀行情報、個人の氏名や電話番号、メールアドレスを扱うわけですからプラグインの利用は慎重にすることが求められます。